Mettre à jour une délégation

  • Article

Une fois que vous avez intégré un abonnement (ou un groupe de ressources) à Azure Lighthouse, vous devrez peut-être apporter des modifications. Par exemple, votre client peut vouloir que vous assumiez des tâches de gestion supplémentaires qui nécessitent un rôle intégré Azure différent, ou vous pourriez avoir besoin de modifier le locataire auquel un abonnement client est délégué.

Conseil

Même si nous faisons ici référence aux fournisseurs de services et aux clients, les entreprises gérant plusieurs locataires peuvent suivre le même processus pour configurer Azure Lighthouse et consolider leur expérience de gestion.

Si vous avez intégré votre client via des modèles Azure Resource Manager (modèles ARM), un nouveau déploiement doit être effectué pour ce client. En fonction de ce que vous modifiez, vous souhaiterez peut-être mettre à jour l’offre d’origine ou la supprimer pour en créer une nouvelle.

  • Si vous modifiez uniquement les autorisations : Vous pouvez mettre à jour votre délégation en modifiant la section Autorisations du modèle ARM.
  • Si vous modifiez le locataire gestionnaire : Vous devez créer un nouveau modèle ARM en utilisant un mspOfferName différent de votre offre précédente.

Mettre à jour votre modèle ARM

Pour mettre à jour votre délégation, vous devez déployer un modèle ARM qui comprend les modifications que vous souhaitez apporter.

Si vous mettez uniquement à jour les autorisations, comme l’ajout d’un groupe d’utilisateurs avec un rôle que vous n’aviez pas inclus précédemment ou la modification du rôle d’un utilisateur existant, vous pouvez utiliser le même mspOfferName que dans le modèle ARM que vous avez utilisé pour la délégation précédente. Utilisez votre modèle précédent comme point de départ. Ensuite, apportez les modifications nécessaires, par exemple en remplaçant un rôle intégré Azure par un autre, ou en ajoutant une autorisation entièrement nouvelle au modèle.

Si vous modifiez le mspOfferName, cela sera considéré comme une nouvelle offre distincte. Cela est nécessaire si vous modifiez le locataire gestionnaire.

Vous n’avez pas besoin de modifier le mspOfferName si le locataire gestionnaire reste le même. Dans la plupart des cas, nous vous recommandons de n’avoir qu’un seul mspOfferName utilisé par le même client et le même locataire gestionnaire. Si vous choisissez de créer un mspOfferName pour votre modèle, assurez-vous que la délégation précédente du client est supprimée avant de déployer la nouvelle.

Supprimer la délégation précédente

Avant d’effectuer un nouveau déploiement, vous pouvez supprimer l’accès à la délégation précédente. Cela permet de s’assurer que toutes les autorisations précédentes sont supprimées, ce qui vous permet de commencer proprement avec les utilisateurs/groupes et les rôles exacts qui doivent s’appliquer à l’avenir.

Important

Si vous utilisez un nouveau mspOfferName et que vous conservez les mêmes valeurs de principalId, vous devez supprimer l’accès à la délégation précédente avant de déployer la nouvelle offre. Si vous ne supprimez pas d’abord l’offre, les utilisateurs qui avaient précédemment reçu une autorisation peuvent perdre leur accès en raison d’attributions conflictuelles.

Si vous modifiez le locataire gestionnaire, vous pouvez laisser l’offre précédente en place si vous souhaitez que les deux locataires continuent à y avoir accès. Si vous souhaitez que seul le nouveau locataire gestionnaire ait accès, l’offre précédente doit être supprimée. Vous pouvez effectuer cette opération avant ou après l’intégration de la nouvelle offre.

Si vous mettez à jour l’offre pour ajuster les autorisations uniquement et que vous conservez le même mspOfferName, vous n’êtes pas obligé de supprimer la délégation précédente. Le nouveau déploiement remplacera la délégation précédente, et seules les autorisations du modèle le plus récent s’appliqueront.

Diagramme illustrant quand modifier mspOfferName et supprimer une délégation précédente.

La suppression de l’accès à la délégation peut être effectuée par n’importe quel utilisateur du locataire gestionnaire qui a reçu le rôle Suppression de l’attribution d’inscription de services gérés dans la délégation d’origine. Si aucun utilisateur de votre locataire gestionnaire n’a ce rôle, vous pouvez demander au client de supprimer l’accès à l’offre dans le portail Azure.

Conseil

Si vous avez supprimé la délégation précédente mais que vous ne parvenez toujours pas à déployer le nouveau modèle ARM, vous devrez peut-être supprimer complètement la définition d’inscription. Tout utilisateur disposant d’un rôle ayant l’autorisation Microsoft.Authorization/roleAssignments/write, telle que Propriétaire, dans le locataire client peut le faire.

Déployer le modèle ARM

Votre client peut déployer le modèle mis à jour de la même manière qu’auparavant : dans le portail Azure, à l’aide de PowerShell ou à l’aide d’Azure CLI.

Une fois le déploiement terminé, confirmez sa réussite. Les autorisations mises à jour seront alors appliquées pour l’abonnement ou les groupes de ressources que le client a délégués.

Mise à jour des offres de service géré

Si vous avez intégré votre client via une offre de service géré publiée sur Place de marché Azure et que vous souhaitez mettre à jour les autorisations, vous pouvez le faire en publiant une nouvelle version de votre offre avec les mises à jour des autorisations dans le plan de ce client. Le client pourra ensuite passer en revue les modifications apportées au portail Azure et accepter la version mise à jour.

Si vous souhaitez modifier le locataire gestionnaire, vous devez créer et publier une nouvelle offre de service géré que le client doit accepter.

Important

Nous recommandons de ne pas utiliser plusieurs offres différentes entre le même client et le même locataire gestionnaire. Si vous publiez une nouvelle offre pour un client qui utilise le même locataire gestionnaire, assurez-vous que l’offre précédente est supprimée avant que le client accepte la nouvelle offre.

Étapes suivantes